vá lá que foi só 1 site
uma vez hackearam os sites todos da empresa onde trabalho ( foram uns haters quais queres ), foram perto de 40 sites
na altura foi muito mau, foram horas a repor bases de dados e a olhar ás falhas, mas ainda assim clientes importantes perderam conteúdos, e por acaso até reagiram bem.
mas agora olhamos para traz e vemos que foi positivo pois aprendemos a dar mais valor à segurança que dantes não dávamos.
posso-te dizer que as principais falhas não estavam em XSS, raras em SQL Injection.
optamos por aplicar captcha's em todos os sites nos formulários de contacto, só aí metade dos problemas ficaram de lado
depois foi aplicar o InputFilter no PHP, é uma class que filtra os conteúdos que os clientes inserem via backoffice ( filtra xss ) e aí também se resolveram muitos problemas
neste momento está tudo Rock Solid!
para testarem os vossos sites usem o Acunetix Web Vulnerability Scanner, é o software que tenho usado